系统安全检测与加固手册715修订版Word格式文档下载.docx

1、 帐号登录超时自动退出加固项1、加强对超级管理员帐户与普通帐户口令的安全性打开计算机管理-本地用户与组，向管理员询问超级管理员及普通帐户的密码，判断其安全性。打开“控制面版”-“管理工具”-“本地安全策略”，在“帐户策略”中，设置密码必须符合复杂性要求（已启用），密码长度最小值（8个字符），密码最长存留期（60天），密码最短存留期（1天）参数，以保护密码。 2、开启强制密码历史功能安全记录在默认情况下是没有保护的，把他设置成只有Administrator和系统帐户才有权访问。打开“本地安全策略”-“账户策略”-“密码策略”，修改“强制密码历史（3个记住的密码）”。此策略设置确定在可以重新使用旧

2、密码之前，必须与某个用户帐户关联的唯一新密码个数。3、帐号登录口令错误与超时自动退出“本地安全策略”，在“帐户策略”-“帐户锁定策略”，分别设置阀值，账户锁定阀值（5次无效登录），复位账户锁定计算器（15分钟），账户锁定时间（15分钟）。1.2 帐号设置检查帐号设置的安全性。Windows系统帐号设置的安全策略1、管理员用户默认需要改名一般扫描工具都会扫描该帐户，所以更名很有必要。“计算机管理”，在“本地用户和组”中，针对administrator用户进行更名。2、禁用或删除不必要的系统帐户曾经为某项工作开设的帐户，现在已经没有作用。要经常检查“本地用户和组”，将闲置或无用的帐户禁用或删除，杜

3、绝安全隐患。例如：Guest3、禁止枚举帐户“本地安全策略”-“本地策略”-“安全选项”，双击“网络访问不允许SAM帐户的匿名枚举”，在出现的属性对话框中，选择“已启用”，点击确定。4、禁用远程登陆服务“用户权利指派”，双击“通过终端服务允许登陆”（删除默认用户与组），对用户和组进行限制。此策略设置确定哪些用户或组有权作为终端服务客户端进行登录。2 文件系统安全2.1 系统分区检查系统分区的安全性系统分区系统目录1、系统分区及数据存放分区必须为NTFS文件系统在“我的电脑”中，右击要检查的分区，比如C盘，在弹出菜单中点击“属性”，在出现的C盘的属性对话框中，查看C盘的文件系统是否为NTFS格式

4、。如果不是则可以采取多种方法，比如重新格式化（非系统分区）或在命令提示符下使用convert命令转换分区格式，注意，该命令只能从Fat格式转换为ntfs格式，不可逆。转换语法：Convert volume /FS:NTFS转换例子：将C分区转换为NTFSConvert C:/FS:2、系统分区必须分为两个及两个以上的分区打开磁盘管理器，查看系统分区是否为两个及以上分区，用于备份系统分区。3、禁用文件同步功能开始菜单，然后点“运行”，输入“ gpedit.msc”，弹出“计算机配置”然后依次点击 管理模板 -网络-脱机文件-禁止“ 允许脱机使用”：,最后选择“已启用”则可。2.2 目录文件检查系

5、统目录文件的安全性桌面目录及文件1、是否将桌面目录设置在非系统分区下（可选做）默认状态下，修改注册表项HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/User Shell Folders中的Desktop子项。将里面的路径设置为在非系统分区下，然后重启计算机即可生效。生效后，找到原来在系统分区下的“桌面“文件夹复制原“桌面”文件夹到新设置的非系统分区位置。3 系统配置3.1 系统设置检查系统的安全配置。系统相关设置1、设置CMOS密码启动计算机，在计算机正在启动时不停地按进入BIOS键（一般为DEL或F2

6、），直到出现CMOS SETUP界面。用键盘上的光标键选择SUPERVISOR PASSWORD项，然后回车，出现ENTER PASSWORD后，输入密码再回车，这时又出现CONFIRM PASSWORD，在其后再次输入同一密码（注：该项原意是对刚才输入的密码进行校验，如果两次输入的密码不一致，则会要求你重新输入）；用光标键选择USER PASSWORD项后回车，同上面一样，密码需输入两次才能生效。2、删除默认共享连接在“运行”框中输入：regedit。打开注册表编辑器，在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanServer

7、parameters 下，修改或添加DWORD值“AutoShareServer”（清除admin$共享）设置为“0”，并且修改或添加DWORD值“AutoShareWKs”（清除磁盘共享） 设置为“0，可以禁止C$和admin$共享。重启后生效。3、禁止建立空连接通过修改注册表来禁止建立空连接：HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa将RestrictAnonymous的值改成”1”即可。4、关机时清除掉页面文件要在关机的时候清除页面文件，可以编辑注册表Key_Local_MachineSYSTEMCurrentControlSe

8、tControlSessionManagerMemoryManagement把ClearPageFileAtShutdown的值设置成1。5、限制注册表的远程访问打开“控制面板”-“管理工具”“本地安全策略”-“安全选项”，双击“网络访问：可远程访问的注册表路径”，将默认的内容删除。6、禁用自动播放功能在“运行”中键入“gpedit.msc”，单击“确定”按钮，打开“组策略”窗口。在左窗格的“本地计算机策略”下，展开“计算机配置管理模板系统”，然后在右窗格的“设置”标题下，双击“关闭自动播放”，单击“设置”选项卡，选中“已启用”复选钮，然后在“关闭自动播放”框中单击“所有驱动器”，单击“确定”

9、。7、设置屏幕保护密码在桌面上右击，选择“属性”，在弹出的属性对话框中，设置屏保程序，等待时间，并设置在恢复时使用密码保护，等待时间设置为10分钟。8、禁止dump file的产生在桌面上右击“我的电脑”，选择“属性”，点击“高级”-启动和故障恢复下的“设置”写入调试信息下面选择“无”。点击确定。9、是否删除系统自带的不必要组件及程序打开控制面板-添加删除程序-添加删除windows组件，删除不必要的组件。3.2 安全策略系统安全策略1、设置登录前不显示上次登录的用户名“安全选项”，双击“交互式登录：不显示上次的用户名”，在弹出的对话框中选择“已启用”并点击“确定”。2、设置按Control-

10、Alt-Delete才能登陆系统“安全设置”-不需要按CTRL+ALT+DEL”，在弹出的对话框中选择“禁用”并点击“确定”。3.3 系统任务检查系统任务工作的安全状态系统任务管理器1、确定授权用户使用任务管理器正常Control-Alt-Delete 组合键查看任务管理器2、确定查看任务管理计划正常任务计划,查看任务计划是否正常。3.4 系统时钟检查系统时钟的准确度。系统时间1、系统时钟是否正确查看系统的时间是否正确4 网络服务安全4.1 服务禁用检查系统的网络服务系统网络服务1、对不必要的网络服务进行合理设置在桌面上右击“我的电脑”，选择“管理”，选择“服务和应用程序”，选择“服务” ，在

11、管理员的配合下，查看是否关闭了不必要的网络服务。 如下服务均要确认设置为禁用： 在桌面上右击“我的电脑”，选择“管理”，选择“服务和应用程序”，选择“服务”，找到如下服务： Remote Registry, Messenger, Telnet, Terminal Services，Routing and Remote Access 确认设置为禁用 如下服务建议设置为手动启动项： Help and Support, Server NetMeeting Remote Desktop Sharing 确认设置为手动 4.2 远程管理检查系统网络服务的远程管理是否安全远程服务1、禁用telnet服务,

12、禁止通过telnet进行远程管理“服务”找到“Telnet”。确认关闭。2、关闭远程桌面连接右键点击“我的电脑”，然后选择“远程“选项卡，按如下步骤设置， 1 远程协助-选上“允许从这台计算机发送远程协议邀请（R）”-高级-远程控制-取消:”允许此计算机被远程控制（A）”的选择2 远程桌面-取消”允许用户远程连接到此计算机（C）”的选择-选择远程用户-远程桌面下的用户为空，即不设置任何用户。2、从安全策略中禁止任何用户远程访问或连接终端“控制面版”-“用户权利指派”，双击“从网络访问此计算机” 和 “通过终端服务拒绝登录” 选项，把里面的默认设置全部清空。5 系统访问控制5.1 防火墙检查主机

13、防火墙安全防护能力系统防火墙1、开启系统防火墙功能选择“控制面板”-“Windows防火墙”-”启用” 与 控制面板-“服务”- “Windows Firewall/Internet Connection Sharing” 选自动启动 2、合理配置防火墙访问控制策略在 “例外”中对例外程序进行检查与确认。3、合理配置防火墙的日志功能“Windows防火墙”,高级-安全日志记录-设置1：记录选项-勾选上”记录被丢弃的数据包” 和 “记录成功的连接”2：日志文件选项-确保防火墙日志记录在一个单独的文件里6 病毒及恶意代码防护6.1 病毒防护检查终端防病毒能力防病毒软件1、确保安装了防病毒软件2、确

14、保病毒库每天能够及时更新3、确保防病毒软件会定期进行病毒扫描7 补丁与更新安全检查系统补丁更新补丁更新与同步1、设置使用Windows update让系统自动更新补丁我的电脑-属性-自动更新-勾选 “自动（建议）”这一项开始-控制面板-管理工具-服务 确保Windows Upadte 为开启状态2、配置每台客户端与WSUS服务器进行补丁同步按如下步骤设置:运行-gpedit.msc-计算机配置-管理模板-Windows组件-Windows Update1“配置自动更新”-已启用-配置自动更新选项里 选择“3-自动下载并通知安装”2 “指定Intranet Microsoft更新服务位置”-已启

15、用为检测更新设置Intranet更新服务项，填入设置Intranet统计服务器，填入详细配置请参阅 在客户端验证与补丁服务器同步是否成功查看C:WindowsWindowsUpdate.log文件，先将WindowsUpdate.log文件里面所有的内容清空运行命令 cmd- gpupdate;cmd - wuauclt /detectnow;3:查看在该文件中新增加内容是否与补丁服务器连接下载（假设没有任何新增加内容则证明补丁更新配置有问题）8 日志及审计的安全性8.1 日志和审计检查系统日志功能日志文件审核策略日志配置文件1、建议按如下设置标准开启安全审核策略Windows设置-安全设置-

16、本地策略-审核策略（对审核策略的开启设置可参考如下）配置策略 Windows XP 审核策略更改 成功 审核登录事件 成功、失败 审核对象访问 失败 审核过程追踪 无审核 审核目录服务访问 无审核 审核特权使用 失败 审核系统事件 成功 审核账户登录事件 成功、失败 审核账户管理 成功、失败2、合理设置系统日志大小、覆盖天数在开始-eventvwr- 事件查看器 进行如下设置最大日志文件大小当达到最大日志大小时应用程序 右击“属性” 16384K 改写久于30天的事件安全性 右击“属性”16384K 改写久于30天的事件系统 右击“属性”16384K改写久于30天的事件附加项1检查邮件用户及邮

17、件策略安全配置邮件密码和过滤规则附加1、对邮件用户进行密码设置根据现场实际情况，建议终端使用者自己设置密码2、设置垃圾邮件过滤规则来阻止发件人第一步：默认状态下，启动OutlookExpress，打开“工具”菜单，找到“规则向导”，单击鼠标左键。在弹出的“规则向导”对话框中单击“新建”，选择“由空白规则开始”，然后选择“右键到达时检查”，单击“下一步”按钮，然后根据实际环境逐步配置。第二步：在弹出的“规则向导”对话框中单击“新建”，选择“由空白规则开始”，然后选择“邮件到达时检查”，点击“下一步”按钮，在上方列表框中选择“正文中包括”，在下方列表框中点击“特定词语”。然后根据实际环境逐步配置。

18、附加项2检查重要文档的保密性重要文档进行保密处理1、对Word重要文档进行加密默认状况下，在编辑好Word文档后，单击“文件”菜单中的“另存为”命令。在“另存为”对话框的“工具”菜单上单击“安全措施选项”既可设置。2、对Excel重要文档进行加密 默认状况下，在编辑好Excel工作簿或工作表以后，请单击“文件”菜单中的“另存为”命令，在“另存为”对话框的“工具”菜单上单击“常规选项”。既可设置。3、对PowerPoint文稿进行加密 默认状况下，在编辑好PowerPoint文档后，请单击“文件”菜单中的“另存为”命令。在“另存为”对话框的“工具”菜单上单击“安全选项”。4、对重要文件或文件夹进行加密默认状况下，可以用鼠标右键单击“开始”菜单然后选择打开“资源管理器”，找到要加密的文件夹，右键单击想要加密的文件或文件夹，再单击“属性”。单击“常规”选项卡上的“高级”。选中“加密内容以便保护数据”复选框。然后单击“确定”。